Clusit

La nuova cyber minaccia per la privacy: tutto ciò che sappiamo sui captatori informatici

In un’analisi del Clusit, tutto quello che bisogna sapere sui trojan captatori informatici, usati dai Governi per intercettare su internet. E che rischia sempre di cadere in mani sbagliate. Come proteggere i cittadini?

Pubblicato il 22 Feb 2017

Giuseppe Vaciago

Partner 42 Law Firm e Docente di Data Ethics e Data Protection al Politecnico di Torino

privacy-160624093226

All’1.26 del mattino di lunedì 6 luglio 2015, viene inviato il seguente tweet dall’account di Hacking Team, una delle più importanti società italiane di intelligence: “Siccome non abbiamo nulla da nascondere, pubblichiamo tutte le nostre email, i file e i codici sorgente”[1]. Più di un milione di email vengono rese disponibili su WikiLeaks per un totale di 400 Gigabyte di documentazione della società sottratto e pubblicato.

L’attività principale di Hacking Team è la commercializzazione del software Remote Control System Galileo (altresì definito RCS Galileo), un pacchetto offensivo di alto profilo in grado di infettare ogni tipo di device (dai computer, ai tablet, agli smartphone). L’operazione avviene attraverso un trojan. Il programma maligno (malware) si attiva una volta che l’obiettivo apre una semplice email, scarica un file, si collega a una rete wifi precedentemente attaccata. A questo punto il trojan infetta il device rimanendo nascosto. Inizia quindi la seconda fase, quella del software spia (spyware). Il computer infetto invia file, schermate, chat, mail, conversazioni Skype o registrazioni ambientali al server che ora lo sta controllando da remoto. Il trojan, di per sé, non è una novità, ma l’intuizione di Hacking Team, come di altre società che commercializzano software analoghi[2], è rivoluzionaria: affiancare a programmi altamente sofisticati di attacco, un cruscotto semplificato che possa essere usato anche da chi non è un esperto di informatica. In due settimane di corso, l’utente è pronto a utilizzare il programma.

L’attacco a Hacking Team ha fatto emergere uno scenario in cui governi, autorità giudiziarie, società e privati cittadini di tutto il mondo possono intercettare conversazioni, attivare la fotocamera o localizzare attraverso il GPS qualunque tipo di device.

A livello internazionale, spiccano sicuramente i rapporti tra Hacking Team e il governo del Sudan e quello russo, ma non sono da sottovalutare quelli con il governo dell’Honduras, Ecuador, Panama, Marocco e quello etiope[3]. Tuttavia Hacking Team non si è limitata a vendere il software a Paesi terzi molti dei quali accusati di violazioni dei diritti umani dai principali organismi internazionali di monitoraggio, ma ha operato con moltissime autorità giudiziarie italiane fornendo informazioni assolutamente rilevanti per raccogliere prove su alcuni dei casi giudiziari più importanti a livello nazionale.

Tra questi va sicuramente ricordato il Caso “Bisignani”, ove si indagava per una presunta associazione a delinquere di stampo massonico, in forza della quale gli imputati avrebbero instaurato, grazie ad un’intricata rete di influenti amicizie, un sistema informativo parallelo che avrebbe avuto tra i suoi obiettivi l’ottenimento di informazioni con le quali assicurarsi favori da parte di esponenti della politica e dell’industria. Nel caso “Bisignani” il giudice per le indagini preliminari non ha qualificato tale attività come un’intercettazione in senso tecnico, lasciando sostanzialmente al Pubblico Ministero il potere di promuovere tale attività investigativa senza bisogno di un provvedimento autorizzativo da parte di un giudice.

Merita un cenno anche il caso dell’omicidio di Yara Gambirasio una giovane ragazza italiana scomparsa il 26 novembre 2010 vicino a Bergamo e ritrovata solo alcuni mesi dopo priva di vita. Il caso ha assunto una grande rilevanza mediatica, oltre che per la giovane età della vittima, anche per l’efferatezza del crimine. Il relativo procedimento giudiziario si è recentemente concluso, dopo un lungo iter investigativo e processuale, il 1° luglio 2016 con la sentenza di ergastolo per Giuseppe Bossetti. Durante il processo è emerso che alcune prove digitali sono state raccolte attraverso il software RCS Galileo installato nel personal computer di Giuseppe Bossetti. I legali hanno provato, senza successo, a introdurre la teoria dell’“evidence planting”, teoria da non sottovalutare nel momento stesso in cui vengono utilizzate queste tipologie di software. Infatti, nel momento stesso in cui si prende possesso del device del soggetto investigato, vi sarebbe la teorica possibilità di inserire o formare delle prove che possono dimostrare la tesi accusatoria. Tale tesi non è stata presa in considerazione dal Tribunale nel caso di specie, benché non si possa escludere che nel prossimo futuro sia ipotizzabile che vengano invece accettate delle eccezioni della difesa basate sulla dottrina statunitense del “Fruit of the poisoness tree” [4]. Tale tesi è contrapposta a quella più europea e che segue il principio “Mala captum, bene retentum”[5] in forza del quale una prova anche se acquisita in violazione di legge, può essere utilizzata dal giudice per le sue valutazioni in relazione alla colpevolezza del soggetto.

Quale che sia il futuro della giurisprudenza è difficile prevederlo, ma è un dato di fatto che questo nuovo strumento investigativo sarà oggetto, nei prossimi anni, di approfondite analisi da parte dei giudici di tutto il mondo.

Gli effetti del caso Hacking Team

Il leak di Hacking team ha fatto emergere numerose criticità in termini di sicurezza informatica, in quanto non solo ha permesso di rivelare al mondo le email e i documenti privati della società e dei suoi clienti, ma anche di diffondere on line lo stesso prodotto, ossia il codice sorgente del software RCS Galileo che è stato prontamente scaricato dai cyber criminali di tutto il mondo per utilizzi –ovviamente- illeciti.

I laboratori Trend Micro, analizzando l’enorme quantità di informazioni trafugate ad Hacking Team, hanno scoperto una falsa app di news creata per oltrepassare i filtri di Google Play. L’app era già stata scaricata una cinquantina di volte prima di essere rimossa il 7 luglio[6].

L’app era stata battezzata BeNews, per sfruttare la credibilità dell’oramai non più funzionante sito di notizie BeNews, ma in realtà era una vera e propria backdoor. Nei file trafugati di Hacking Team sono stati trovati i codici sorgente e le istruzioni per formare i clienti all’utilizzo di questa app.

Gli effetti dell’hackeraggio sono addirittura arrivati in Cina. Secondo quanto ha riferito il South China Morning Post[7], ben due gruppi di hacker operativi nel Paese asiatico avrebbero usato gli strumenti messi in rete dopo l’attacco informatico alla società milanese per sferrare attacchi cyber-criminali. In particolare gli hacker avrebbero approfittato di alcune falle del programma Flash di Adobe per colpire specifici settori, dalle telecomunicazioni all’aerospazio, dalla difesa all’energia.

Dopo l’allarme lanciato da esperti di security, che consigliavano di disinstallare Flash, e la decisione di Mozilla e Chrome di disabilitare il media player, Adobe è corsa ai ripari[8]. La società ha rilasciato un aggiornamento per il programma destinato agli utenti Windows, Mac e Linux[9].

Nel leak reso pubblico si trovava anche un esempio pratico di un exploit 0-day multipiattaforma di Flash (CVE numero CVE-2015-5119)[10] innescato dall’avvio di una calcolatrice di Windows da una pagina web di prova[11]. Non appena gli exploit sono stati “patchati”, i ricercatori e le società di sicurezza si sono accorti che già molte suite di hackeraggio si erano aggiornate per sfruttare le nuove vulnerabilità e, addirittura, tramite un’analisi del traffico, che la Corea del Sud ed il Giappone avevano subito attacchi di spear phishing[12] ai loro sistemi da parte di ignoti sfruttando quel sistema[13].

I programmi singolarmente, come RCS Galileo, sono stati resi inutili dall’intervento dei programmatori che hanno chiuso le vulnerabilità che sfruttavano, ma facendone una dissezione per un criminale attento si possono trovare spunti per programmare nuovi malware. Un esempio è il Rootkit per il BIOS UEFI (Unified Extensible Firmware Interface) trovato all’interno di RCS Galileo dai ricercatori di Trend Micro[14], che permette al programma di rimanere installato nei sistemi bersaglio anche se viene reinstallato il sistema operativo o se viene formattata la memoria, o, addirittura, se il disco rigido viene sostituito.

Nell’estate 2016 gli esperti di Blue Coat Labs hanno scoperto un attacco che sfrutta i codici exploit capaci di far leva su un paio di vulnerabilità critiche a suo tempo scoperte nelle versioni remote di Android 4.0, 4.1 e 4.3 (“Ice Cream Sandwich” e “Jelly Bean”).

In particolare, il codice exploit conosciuto come “lbxsl”, risulta tra quelli sottratti ad Hacking Team e pubblicati nel 2015[15].

I profili legali

Alla luce di queste premesse, è necessario interrogarci su due distinti ordini di problemi: il primo riguarda il livello di sicurezza con cui tali software vengono conservati e il secondo è quello relativo all’esportabilità e alla produzione di tali strumenti. Se, infatti, il captatore informatico rappresenta il futuro delle investigazioni, non si può negare che sia, a tutti gli effetti, una delle più pericolose cyber-weapon esistenti sul mercato e come tale vada trattato e regolamentato sia a livello nazionale che a livello internazionale. Sottovalutare questo aspetto può avere, nel medio-lungo termine, conseguenze devastanti in termini di sicurezza informatica.

La fuga di notizie ha mostrato che i dipendenti Hacking Team adoperavano password deboli, quali “P4ssword”, “Wolverine” e “Universo”[16]. Dobbiamo, quindi, interrogarci, se sia corretto che società private che producono e commercializzano software di questo tipo non debbano essere soggette a rigidi controlli e regolamentazioni, esattamente come accade nel “mondo off line”. Ai sensi del combinato disposto dell’art. 697 del codice penale e dell’art. 20-bis della legge 110/75[17], una società che produce armamenti o, banalmente, anche un privato cittadino che conserva un’arma nella propria abitazione risponde penalmente nel caso in cui questa venga smarrita e/o rubata per propria negligenza. Le pene arrivano fino a due anni di arresto.

La domanda è quindi molto semplice: si può considerare una “custodia poco diligente nell’interesse della sicurezza pubblica” il fatto di proteggere con password deboli l’accesso a server che al loro interno custodiscono cyber-weapon?

Un secondo profilo, ancora più delicato e controverso, è quello relativo all’esportazione di tali armi verso Paesi esteri che risultano in varie black list internazionali (tra cui ONU, NATO, EU). Sotto questo profilo esiste una regolamentazione di riferimento sia a livello nazionale (d.l.gs 9/2003[18]) che internazionale (Regolamento Europeo 428/09[19] e 388/12[20]). Sempre a livello internazionale, non si può non citare il Wassenar Agreement[21] che regolamenta il controllo delle esportazioni per le armi convenzionali e le tecnologie dual use[22], ossia quei prodotti che, pur non essendo di per sé armi, potrebbero potenzialmente diventarlo. In buona sostanza, gli Stati[23]che hanno sottoscritto tale accordo cercano attraverso le politiche nazionali di garantire che il trasferimento di armi o di tecnologie dual use non contribuisca allo sviluppo militare di Paesi non democratici in grado di mettere in pericolo la sicurezza internazionale.

Un “intrusion software”, ad esempio, può essere utilizzato da una società di security per testare la sicurezza di un sistema informatico e al contempo essere usato da uno Stato non democratico per controllare e intercettare le conversazioni dei propri cittadini. Un recente caso, ha visto coinvolta un’altra società italiana (Area S.p.A.) che vendeva al Governo siriano un sistema di monitoraggio on line attraverso un fittizio rapporto commerciale con la principale società di telecomunicazioni nazionale[24].

Il vero problema tuttavia è trovare il bilanciamento di interessi tra l’esigenza di reprimere e vietare trasferimenti illeciti di tecnologie dual use e quello di limitare lo scambio di informazioni fondamentali in ambito di security[25]. La recente modifica del Wassenar Agreement[26] ha generato numerose polemiche, in quanto la nozione di “intrusion software” è sicuramente molto ampia e potrebbe anche bloccare l’esportazione di software utilizzati dalle società di security per la ricerca di nuove vulnerabilità[27]. D’altro canto, non si può non considerare come l’acquisto di “exploit” e “0-day” debba essere regolamentata anche in considerazione del fatto che il nostro codice penale prevede una pena fino a 4 anni di reclusione per chi “fuori dei casi consentiti dalla legge, installa apparecchiature atte a intercettare, impedire o interrompere comunicazioni relative a un sistema informatico o telematico ovvero intercorrenti tra più sistemi” (art. 617-quinquies c.p.).

Queste sono le premesse per una riflessione più ampia che andrà fatta tenendo a mente che il percorso per allineare la disciplina sulle cyber-weapon a quella delle armi tradizionali è appena iniziato, ma deve diventare presto una priorità anche a livello nazionale.

Il captatore informatico e la digital forensics

Unitamente a quello della conservazione e dell’esportazione, il rispetto dei principi di digital forensics costituisce un ulteriore tassello di grande rilevanza per regolamentare l’utilizzo del captatore informatico. Come è noto la digital forensics è quella disciplina tecnico-legale che permette di garantire[28]:

1. l’immodificabilità del contenuto della memoria del dispositivo;

2. la conformità dei dati acquisiti con i dati originali;

3. la corretta conservazione dei dati acquisiti.

Alla luce di queste premesse, risulta davvero complesso ritenere che i principi enunciati possano trovare applicazione con riferimento ad uno strumento che viene inoculato surrettiziamente all’interno del dispositivo di un soggetto e ne prende il pieno controllo.

Inoltre, va considerato che il dispositivo durante la fase di attivazione e di captazione del trojan è in costante attività (ad esempio può ricevere telefonate, inviare sms, ricevere email o navigare su internet) e quindi si modifica in continuazione. Se dal punto di vista tecnico, attraverso un articolato uso della funzione di hash è ipotizzabile certificare una cristallizzazione del contenuto captato in un determinato momento, dal punto di vista processuale l’attività̀ captativa eseguita mediante trojan non può che generare un’attività irripetibile, in quanto modifica il luogo virtuale nel quale il malware viene installato.

Da ultimo, ma non per questo meno importante, va evidenziato che il captatore, una volta installato, non può essere facilmente rimosso dall’attaccante, restando dunque giacente all’interno del dispositivo. Per questa ragione, il rispetto dei principi di digital forensics è un presupposto essenziale per l’utilizzabilità delle prove raccolte attraverso questo strumento.

Le proposte di legge italiane per regolare l’utilizzo dei captatori informatici

Per quanto attiene l’utilizzabilità del captatore nelle indagini penali, nell’ultimo anno in Italia si sono susseguiti quattro progetti di legge per formalizzare lo strumento investigativo del captatore informatico nell’ambito del codice di procedura penale italiano: il primo progetto è stato presentato all’interno della legge in tema di contrasto al terrorismo (legge 17 aprile 2015 n. 43). In questo progetto di legge è stato fatto un maldestro tentativo di aggiungere all’interno dell’articolo 266-bis che disciplina l’intercettazione telematica, la possibilità di effettuare tale tipo di attività “anche attraverso l’impiego di strumento o di programmi informatici per l’acquisizione da remoto delle comunicazioni e dei dati presenti in un sistema informatico”. Tale emendamento è stato criticato da molti parlamentari e dallo stesso Primo Ministro, in quanto inseriva la possibilità di effettuare attività assolutamente invasive nei confronti dei cittadini senza alcuna garanzia di legge se non quella di considerare tale strumento come una mera intercettazione telematica. Stessa sorte è toccata al Progetto di Legge “Greco” del 2 dicembre 2015.

All’inizio del 2016 si sono sviluppati due progetti di legge (Emendamento “Casson” e proposta “Quintarelli”) che sembrano avere un diverso approccio rispetto a quelli dell’anno precedente. Anche se ancora in discussione e non in versione definitiva, ciò che emerge è la necessità di regolare tale strumento attraverso i seguenti provvedimenti:

· limitazione dell’utilizzo dello strumento solo per i reati più gravi;

· necessaria autorizzazione del giudice per le indagini preliminari e non del Pubblico Ministero;

· possibilità di notifica ritardata all’indagato in caso di sequestro informatico, ma facoltà di quest’ultimo di analizzare i dati sequestrati in contradditorio con il Pubblico Ministero;

· istituzione di un processo di certificazione dei captatori autorizzati all’uso e presenti sul mercato attraverso sistemi idonei di verifica che garantiscano imparzialità̀ e segretezza;

· diritto per la difesa di ottenere la documentazione relativa a tutte le operazioni eseguite tramite captatori e di verificare tecnicamente che i captatori in uso siano certificati;

· disinstallazione dei programmi al termine dell’uso autorizzato, anche fornendo all’utente le informazioni necessarie a provvedervi autonomamente in alcuni casi.

Quale che sia il futuro della legislazione sul punto è difficile prevederlo, ma è certo che questo nuovo strumento investigativo nei prossimi anni sostituirà progressivamente la tradizionale intercettazione telefonica offrendo tuttavia un volume di informazioni decisamente più rilevante. Forse proprio per questa ragione, in Francia, Spagna, Portogallo e, ultimamente, anche in Finlandia ed Estonia sono state adottate delle legislazioni nazionali che ne hanno consentito, ma anche regolamentato l’utilizzo.

Conclusioni

Da ultimo, nel recente caso “Eye Piramid” abbiamo un’esemplificazione dello scenario futuro. Il caso, ancora in fase di indagini preliminari, riguarda due fratelli, Giulio e Francesca Occhionero che, con un semplice trojan, scritto in Visual Basic da Giulio, hanno acquisito informazioni riservate presenti nei device di migliaia di persone, tra i quali alcuni tra gli uomini più potenti in Italia. Le dimensioni di quest’attacco sono rilevanti: 18.327 username e 1.793 password rubati e un archivio totale di 87 GB di dati riguardanti i soggetti hackerati.

Il paradosso di questo caso è che, da un lato, l’hacker -o presunto tale- attraverso il malware “Eye Piramid” ha spiato politici e manager italiani e dall’altro la Procura di Roma attraverso il medesimo strumento si è introdotta nel computer dell’indagato per acquisire elementi utili all’indagine.

Queste sono le premesse per una riflessione più ampia che andrà fatta tenendo a mente che il percorso per allineare la disciplina sulle cyber-weapon a quella delle armi tradizionali è appena iniziato, ma deve diventare presto una priorità a livello nazionale.


[1] AA.VV., Attacco ai pirati. L’affondamento di Hacking Team: tutti i segreti del datagate italiano, Lastampa/40k, 2015, p. 8.

[2] Sempre attraverso WikiLeaks, si trovano le informazioni relative a FinFisher, azienda tedesca fino al 2013 e parte del gruppo inglese Gamma Group International, che produce una suite per infettare computer e smartphone con un trojan ad altre tre società europee: la francese Vupen, le tedesche DigiTask ed Elaman, specializzate nella produzione di captatori informatici.

[3] A questo indirizzo https://wikileaks.org/hackingteam/emails/ è possibile scaricare il motore di ricerca generato da WikiLeaks che contiene l’archivio delle email.Una mappa di possibili utilizzatori è pubblicata sul sito del Citizen Lab al seguente url: https://citizenlab.org/2014/02/mapping-hacking-teams-untraceable-spyware/.

[4] La teoria giuridica di matrice statunitense del “frutto raccolto dall’albero avvelenato” (Fruit of the Poisonous Tree) ritiene che la prova raccolta illegalmente dovrebbe essere esclusa dal processo. Questa teoria è soggetta a delle eccezioni qualora: (i) la prova è stata trovata da una fonte indipendente dalle indagini; (ii) la scoperta di tale prova era inevitabile; (iii) se c’è una causa che giustifica l’attività illegale che ha permesso di scoprire tale prova. SilverthorneLumber Co. v. UnitedStates, 251 U.S. 385 (1920).

[5] Per analizzare la contrapposizione tra i due principi si veda la seguente sentenza, European Court of Human Right, 30 giugno 2008, Gäfgen c. Germany.

[6] Per una descrizione più dettagliata, si può consultare il blog di Trend Micro: http://blog.trendmicro.com/trendlabs-security-intelligence/fake-news-app-in-hacking-team-dump-designed-to-bypass-google-play.

[7] Fonte: http://www.scmp.com/tech/enterprises/article/1838426/chinese-hackers-used-exploits-revealed-attack-cybersecurity-firm.

[8] Fonte: https://helpx.adobe.com/security/products/flash-player/apsa15-03.html

[9] Fonte: http://arstechnica.com/security/2015/07/once-again-adobe-releases-emergency-flash-patch-for-hacking-team-0-days.

[10]Fonte: http://blog.trendmicro.com/trendlabs-security-intelligence/a-look-at-the-open-type-font-manager-vulnerability-from-the-hacking-team-leak/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Anti-MalwareBlog+%28Trendlabs+Security+Intelligence+Blog%29

La stessa Hacking Team descrive una della vulnerabilità di Flash Player “the most beautiful Flash bug for the last four years” Fonti: http://thehackernews.com/2015/07/flash-zero-day-vulnerability.html, http://blog.trendmicro.com/trendlabs-security-intelligence/unpatched-flash-player-flaws-more-pocs-found-in-hacking-team-leak/.

[11] Fonte: https://www.inforge.net/xi/resources/proof-of-concept-flash-0day-use-after-free-vulnerability-hackingteam-leak.13632/

Nei leaksi leggeva di un‘ulteriore vulnerabilità Adobe, attraverso un attacco buffer overflow sulla DLL Adobe Open Type Manager incorporata in Microsoft Windows. La DLL lavora in kernel mode, quindi l‘attacco può compiere una privilege escalation per aggirare la sandbox. Fonte: http://blog.trendmicro.com/trendlabs-security-intelligence/a-look-at-the-open-type-font-manager-vulnerability-from-the-hacking-team-leak/

[12] Lo spear phishing è un attacco mirato verso un individuo o una compagnia con l’obiettivo di cercare informazioni sull’obbiettivo per poter incrementare le probabilità di successo. Questa tecnica è, alla lunga, la più diffusa su internet, con una quota del 91% degli attacchi.

[13] Fonte: http://arstechnica.com/security/2015/07/hacking-teams-flash-0day-potent-enough-to-infect-actual-chrome-user/

[14]Fonte: http://blog.trendmicro.com/trendlabs-security-intelligence/hacking-team-uses-uefi-bios-rootkit-to-keep-rcs-9-agent-in-target-systems/

[15]Fonte: https://threatpost.com/android-ransomware-attacks-using-towelroot-hacking-team-exploits/117655.

[16] Zack Whittaker, Hacking Team used shockingly bad passwords. Fonte: http://www.zdnet.com/article/no-wonder-hacking-team-got-hacked.

[17] L’articolo 20-bis è stato introdotto dal D.lgs 204/2010 e poi modificato dal D.l.gs. 121/2013.

[18] Fonte: http://www.gazzettaufficiale.it/eli/id/2003/05/05/003G0117/sg.

[19] Fonte: http://eur-lex.europa.eu/legal-content/IT/TXT/?uri=URISERV%3Acx0005.

[20] Fonte: http://eur-lex.europa.eu/legal-content/IT/TXT/?uri=celex:32012R0388. Da notare che è in discussione una ulteriore proposta di modifica che andrebbe proprio a modificare il concetto di “intrusion software”. Fonte: http://www.lexology.com/library/detail.aspx?g=0ad79571-1345-4cd3-9000-e71ef3c5f46f. Sul regime europeo, si può consultare il seguente Url: http://ec.europa.eu/trade/import-and-export-rules/export-from-eu/dual-use-controls/.

[21] Fonte: http://www.wassenaar.org/

[22] Specifico riferimento alle tecnologie contemplate dal Wassenaar Arrangement: http://www.wassenaar.org/wp-content/uploads/2016/12/WA-LIST-16-1-2016-List-of-DU-Goods-and-Technologies-and-Munitions-List.pdf

[23] Elenco degli stati disponibili alla seguente url: http://www.wassenaar.org/participating-states/

[24] Per ulteriori approfondimenti: http://milano.repubblica.it/cronaca/2016/12/01/news/milano_intercettazioni_violato_embargo_siria-153210074/ (Fonte La Repubblica, 1 dicembre 2016).

[25] Sul punto si suggerisce la lettura di J. Sanders, How the Wassenaar Arrangement threatensres ponsible vulnerability disclosures, disponibile al seguente Url: http://www.techrepublic.com/article/how-the-wassenaar-arrangement-threatens-responsible-security-vulnerability-disclosures/.

[26] Sul punto si può approfondire al seguente url: http://www.lexology.com/library/detail.aspx?g=396daedc-5ab0-4148-a5d6-e931aad83895.

[27] Sul punto si suggerisce la lettura di Sergey Bratus, Michael Locasto, Anna Shubina, Why Wassenaar Arrangement’s Definitions of “Intrusion Software” and “Controlled Items” Put Security Research and Defense At Risk, disponibile al seguente Url: https://www.usenix.org/system/files/login/articles/wassenaar.pdf. Si possono anche consultare i seguenti Url: https://threatpost.com/security-researchers-wary-of-proposed-wassenaar-rules/112937; e http://www.securityweek.com/cybersecurity-industry-remains-concerned-over-wassenaar-arrangement.

[28] M. Zonaro, Il Trojan – Aspetti tecnici e operativi per l’utilizzo di un innovativo strumento d’intercettazione, in Trojan Horse: tecnologia, indagini e garanzie di libertà, 2016, disponibile al seguente Url: http://www.parolaalladifesa.it/wp-content/uploads/2016/09/Parola-alla-difesa_Trojan-horse-tecnologia-indagini-e-garanzie-di-liberta%CC%80.pdf.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati

Articolo 1 di 3